В Банке данных угроз (BDU) зарегистрирована новая серьёзная уязвимость в популярном движке сетевого анализа Suricata. Уязвимость, получившая идентификаторы BDU:2026-01034 и CVE-2026-22264, связана с ошибкой типа «использование после освобождения» (Use-After-Free, CWE-416). Эта проблема затрагивает ключевые версии программного обеспечения и может привести к полному отказу в обслуживании (DoS) системы защиты.
Детали уязвимости
Suricata представляет собой мощное решение с открытым исходным кодом для обнаружения и предотвращения вторжений (IDS/IPS). Между тем, именно в его ядре была обнаружена критическая ошибка управления памятью. Уязвимость позволяет удалённому злоумышленнику, манипулируя сетевым трафиком, спровоцировать сбой в работе Suricata. Следовательно, система защиты может перестать анализировать трафик, оставляя сеть без контроля.
Подверженными риску являются версии Suricata с 7.0.0 по 7.0.14, а также с 8.0.0 по 8.0.3. Производитель, фонд Open Information Security Foundation (OISF), уже подтвердил наличие проблемы. Более того, организация оперативно выпустила исправления. Оценки по методологии CVSS подчёркивают высокую степень опасности. Базовая оценка CVSS 2.0 составляет 9.4, а CVSS 3.1 - 9.1, что соответствует критическому уровню.
Ошибка «использование после освобождения» возникает, когда программа продолжает обращаться к области памяти после того, как та была освобождена. В результате это может привести к нестабильности, аварийному завершению работы или выполнению произвольного кода. В данном случае эксперты указывают на возможность только атаки на отказ в обслуживании. Однако даже такая угроза крайне опасна, поскольку вывод из строя системы IDS/IPS создает большие проблемы службам информационной безопасности.
На данный момент информация о наличии активных эксплойтов уточняется. Тем не менее, учитывая публичность данных об уязвимости и высокий рейтинг CVSS, можно ожидать появления инструментов для эксплуатации в ближайшее время. Поэтому администраторам следует действовать на опережение. Основной и единственный рекомендуемый способ устранения уязвимости - немедленное обновление программного обеспечения.
Разработчики Suricata устранили проблему в версиях 7.0.14 и 8.0.3. Соответственно, пользователям этих веток необходимо обновиться до указанных патченных релизов. Для этого следует посетить официальный сайт проекта или репозиторий на GitHub. Там же опубликованы технические детали и коммиты, исправляющие ошибку.
Данный инцидент служит важным напоминанием о критической роли своевременного обновления средств защиты. Системы типа Suricata часто развёрнуты на периметре сети, анализируя весь входящий и исходящий трафик. Следовательно, их сбой равносилен снятию первой линии обороны. Атаки на отказ в обслуживании могут использоваться злоумышленниками как отвлекающий манёвр. Например, пока команда SOC реагирует на падение IDS, может быть запущена более скрытая атака.
Таким образом, обнаружение уязвимости в таком фундаментальном инструменте, как Suricata, требует оперативных действий от всех, кто его использует. Администраторам необходимо проверить версии своих развёртываний и применить обновления в кратчайшие сроки. Кроме того, стоит усилить мониторинг на предмет любых аномалий в работе систем защиты. В заключение, поддержание актуальности программного обеспечения остаётся одним из самых эффективных методов снижения киберрисков.
Ссылки
- https://bdu.fstec.ru/vul/2026-01034
- https://www.cve.org/CVERecord?id=CVE-2026-22264
- https://github.com/OISF/suricata/commit/549d7bf60616de8e54686a188196453b5b22f715
- https://github.com/OISF/suricata/commit/5789a3d3760dbf33d93fc56c27bd9529e5bdc8f2
- https://github.com/OISF/suricata/commit/ac1eb394181530430fb7262969f423a1bf8f209b
- https://github.com/OISF/suricata/security/advisories/GHSA-mqr8-m3m4-2hw5
- https://redmine.openinfosecfoundation.org/issues/8190
